Neue Regeln für Cookies – Bundestag beschließt neues TTDSG

Update 28.6.2021: Das Gesetz wurde heute im Bundesgesetzblatt verkündet. Mit Ausnahme der durch das Gesetz am TKG vorgesehenen Änderungen tritt es am 1.12.2021 in Kraft.

Der Bundestag hat heute das neue Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG), das u.a. den Einsatz von Cookies regelt, in der Ausschussfassung beschlossen. Über den Gesetzentwurf der Bundesregierung und den ursprünglichen Referentenentwurf hatten wir bereits berichtet.

Hintergrund

Durch die neue Regelung soll Art. 5 Abs. 3 der ePrivacy-RL (RL 2002/58/EG) in der Fassung der Cookie-RL (RL 2009/136/EG) in nationales Recht umgesetzt werden. Das Telemediengesetz (TMG), dass diese Umsetzung wiederspiegeln sollte, hätte schon vor Jahren angepasst werden müssen. In seinem Planet 49-Urteil entschied der EuGH bereits, dass eine Einwilligung gemäß Art. 5 Abs. 3 RL 2002/58 ein aktives Verhalten der Nutzer zur Speicherung und zum Abruf von Informationen auf seinem Endgerät voraussetze. Zudem besteht Regelungsbedarf, da die Vorschriften des TMG sich auf die Verarbeitung personenbezogener Daten beziehen. Der EuGH hat in seinem Urteil jedoch festgestellt, dass es bei Art. 5 Abs. 3 ePrivacy-RL nicht darauf ankomme, dass es sich um personenbezogene Daten handelt. Im Anschluss hieran hatte der BGH entschieden, dass § 15 Abs. 3 TMG im Hinblick auf Art. 5 Abs. 3 S. 1 e-Privacy-RL dahingehend richtlinienkonform auszulegen sei, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung und Marktforschung die Einwilligung des Nutzers erforderlich ist, da der deutsche Gesetzgeber die Vorgaben der Cookie-RL nicht umgesetzt hat.

Grundsatz: Einwilligung

Die Regelung zu Cookies enthält nun § 25 TTDSG. Die Vorschrift wurde gegenüber dem Regierungsentwurf nicht mehr angepasst. § 25 Abs. 1 TTDSG sieht zunächst vor, dass Dritte Informationen auf Endeinrichtungen des Endnutzers nur speichern oder auf gespeicherte Informationen zugreifen dürfen, wenn der Endnutzer darüber informiert wurde und eingewilligt hat. Die Information und die Einwilligung haben nach den Vorschriften der DSGVO zu erfolgen.

§ 25 Schutz der Privatsphäre bei Endeinrichtungen

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

Ausnahmen vom Einwilligungserfordernis

Das Einwilligungserfordernis gilt jedoch nicht ausnahmslos. Abs. 2 sieht entsprechende Ausnahmen vor. Hierbei orientiert sich § 25 TTDSG am Wortlaut des Art. 5 Abs. 3 ePrivacy-RL (RL 2002/58/EG) in der Fassung der Cookie-RL (RL 2009/136/EG).

Eine Einwilligung ist nach Abs. 2 Nr. 1 nicht notwendig, wenn die Speicherung von oder der Zugriff auf die Informationen nur erfolgt, um eine Nachricht zu übermitteln. Die Ausnahme in Abs. 2 Nr. 2 sieht vor, dass keine Einwilligung erforderlich ist, wenn die Speicherung von oder der Zugriff auf die Informationen unbedingt erforderlich ist, um vom Endnutzer nachgefragte Telemedien bereitzustellen. Diese Ausnahmeregelung betrifft insofern das Setzen und Auslesen technisch notwendiger Cookies, damit der Anbieter die vom Endnutzer gewünschten Dienste durchführen kann.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

1.wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

2.wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Bußgeld

Wenn gegen das Einwilligungserfordernis nach § 25 TTDSG verstoßen wird, handelt es sich nach § 28 Abs. 1 Nr. 13 TTDSG um eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 300.000 Euro geahndet werden kann.

§ 26 Bußgeldvorschriften

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig […]

  1. entgegen § 25 Absatz 1 Satz 1 eine Information speichert oder auf eine Information zugreift.

(2) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 1 Nummer 2, 3, 9, 11, 12 und 13 mit einer Geldbuße bis zu dreihunderttausend Euro, in den Fällen des Absatzes 1 Nummer 4 und 5 mit einer Geldbuße bis zu hunderttausend Euro, in den Fällen des Absatzes 1 Nummer 8 mit einer Geldbuße bis zu fünfzigtausend Euro und in den übrigen Fällen mit einer Geldbuße bis zu zehntausend Euro geahndet werden.

Dienste zur Einwilligungsverwaltung

Der ursprüngliche Referentenentwurf des Wirtschaftsministeriums sah noch vor, dass die Einwilligung auch durch die Nutzung entsprechender Einstellungen, die der Endnutzer in seinem Browser vornimmt, oder durch eine andere Anwendung erfolgen kann, wenn es technisch durchführbar und wirksam ist. Der Regierungsentwurf sah diese Möglichkeit nicht mehr vor. Mit § 26 TTDSG wird nun eine Regelung eingeführt, mit der ein Rechtsrahmen geschaffen werden soll, der zur einer Anerkennung von Diensten zur Einwilligungsverwaltung führt. Gemeint sind hiermit u.a. sog. PIMS (Personal Information Management Systems). Auch Browser sollen nach der Gesetzesbegründung Einstellungen, die der Endnutzer im Zusammenhang mit der Einwilligung nach § 25 TTDSG in solchen Diensten vorgenommen hat, berücksichtigen. Der Bundesrat hatte zuvor in seiner Stellungnahme zum Regierungsentwurf um Schaffung einer Ermächtigungsgrundlage gebeten, um damit für die Nutzerinnen und Nutzer eine einfachere und standardisierte Handhabung in Bezug auf die Ausgestaltung ihrer Einwilligung zu ermöglichen.

Mit Abs. 1 werden Anforderungen an diese Dienste bestimmt, damit diese anerkannt werden können.

§ 26 Anerkannte Dienste zur Einwilligungsverwaltung, Endnutzereinstellungen

(1) Dienste zur Verwaltung von nach § 25 Absatz 1 erteilten Einwilligungen, die

  1. nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung haben,
  2. kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können,
  3. die personenbezogenen Daten und die Informationen über die Einwilligungsentscheidungen für keine anderen Zwecke als die Einwilligungsverwaltung verarbeiten und
  4. ein Sicherheitskonzept vorlegen, das eine Bewertung der Qualität und Zuverlässigkeit des Dienstes und der technischen Anwendungen ermöglicht und aus dem sich ergibt, dass der Dienst sowohl technisch als auch organisatorisch die rechtlichen Anforderungen an den Datenschutz und die Datensicherheit, die sich insbesondere aus der Verordnung (EU) 2016/679 ergeben, erfüllt,

können von einer unabhängigen Stelle nach Maßgabe der Rechtsverordnung nach Absatz 2 anerkannt werden.

Das genaue Anerkennungsverfahren soll nach Abs. 2 durch eine Rechtsverordnung der Bundesregierung mit Zustimmung des Bundestages und des Bundesrates festgelegt werden. Dazu werden dann die konkreten Anforderungen an den Antrag, das Sicherheitskonzept und die Anerkennung der zuständigen unabhängigen Stellen gehören. Zugleich soll die Verordnung nach Abs. 2 technische und organisatorische Maßnehmen festlegen, die die Browser veranlassen soll, Einstellungen der Endnutzer hinsichtlich der Einwilligung nach § 25 Abs. 1 TTDSG zu berücksichtigen. Die Anforderungen an technische und organisatorische Maßnahmen sollen auch ermöglichen, dass Browser und Telemedienanbieter beim Einwilligungsmanagement anerkannte Dienste zur Einwilligungsverwaltung einbinden. Diese Verordnung wird dann noch durch die EU notifiziert werden müssen.

Das Gesetz soll am 1. Dezember 2021 in Kraft treten. Die Beschlussempfehlung des Wirtschaftsausschusses finden Sie hier, den Gesetzentwurf der Bundesregierung können Sie hier abrufen.

Unser Tipp: Eine Lösung, um die Einwilligung in das Setzen von Cookies wirksam einzuholen, bietet der Trusted Shops Consent-Manager.

peterschreiber.media/Shutterstock.com